Базові налаштування VLAN на MikroTik: інструкція з прикладами

Дізнайтеся як зробити налаштування віртуальної локальної мережі VLAN для мережевого обладнання Mikrotik поетапно в стані: access, trunk, і в двох станах одночасно

Зміст:

1. Поняття VLAN: технічні параметри і стандарти, стан портів
2. Приклад №1 (Налаштування VLAN в стані access)
3. Приклад №2 (Налаштування VLAN в стані trunk)
4. Приклад №3 (Налаштування VLAN в стані trunk і access)

1. Поняття VLAN: технічні параметри і стандарти, стан портів

Для початку розберемося, що ж означає VLAN . VLAN - це абревіатура Virtual Local Area Network - в віртуальна локальна мережа. Іншими словами - ця технологія дозволяє, на основі реальної мережі, створювати віртуальні мережі з різними рівнями доступу та розподілом користувачів. Віртуальні мережі підвищують безпеку локальної мережі, як приклад, відокремивши робочу мережу від гостьової та заборонивши гостьовій мережі доступ в робочу , можна використовувати фізично одну точку доступу для доступу в мережу інтернет як для співробітників, так і для гостей компанії . Або розділивши мережі для різних підрозділів або відділів однієї компанії, спростивши тим самим обслуговування і моніторинг мережі. Сегментуючи мережу можна забезпечити окремі мережі для різних компаній в великому бізнес центрі, таким чином можна з'єднати в одну мережу офіси відстань яких перевищує фізичну довжину сегмента Езернет кабелю (100-150метров). Завдяки розподілу мережі на сегменти з допомогою VLAN, можна зменшити навантаження на обладнання, а також більш точно визначити і виправляти помилки які виникають в мережі.

ВАЖЛИВО! Для побудови мережі з підтримкою VLAN потрібно використовувати обладнання, яке підтримує даний функціонал. Також бажано використовувати обладнання одного виробника або ж переконатися, що все обладнання в мережі підтримую модифікацію стандарту VLAN.

Технічні параметри та стандарти:

В одному сегменті локальної мережі немає можливості зробити нескінченне число віртуальних мереж, вся справа в обмеженні стандарту, він обмежений - 4096 (від 0 до 4095 ). Треба врахувати той факт, що VLAN з ідентифікатором 1 є основним або native і за замовчуванням використовується на всіх портах мережевих пристроїв.

Стандартні налаштування стану порту:

• access port або не тегований - порт транслює тільки один VLAN. Це порт, до якого безпосередньо підключається кінцевий пристрій (комп’ютер, точка доступу, принтер та інше обладнання).
• trunk port або тегованих - порт транслює декілька VLAN. Цей порт передає кілька ідентифікаторів VLAN з одного мережевого пристрою на інший.

З огляду на особливості обладнання MikroTik налаштування VLAN можна робити різними способами. Нажаль, не всі способи налаштувань VLAN будуть сумісні з настройками обладнання інших виробників, і з цієї причини, в даній статті буде розглянуто налаштування які будуть максимально сумісні з обладнанням різних виробників. У даній статті налаштування обладнання MikroTik будуть здійснюватися через програму WinBox.

2. Приклад №1 (Налаштування VLAN в стані access)

У першому прикладі розглянемо налаштування VLAN на пристрої RB750r2 ( hEx lite ) у якого порти будуть в різних VLAN-ах в режимі access. Схема наведена нижче.

Перший порт буде використовуватися для підключення до інтернет провайдеру, другий і третій порти для загальної мережі і залишаться в базовій конфігурації. А на четвертий і п'ятий порти будуть навішені VLAN , на четвертий - VLAN 100 ( VLAN з міткою сто), а на п'ятий порт - VLAN 200 ( VLAN з міткою двісті).

ВАЖЛИВО!!! Базові налаштування маршрутизатора в даній статті розглядатися не буде, а перейдемо відразу до безпосередньої налаштування VLAN . Для ознайомлення з базовими налаштуваннями маршрутизаторів MikroTik перейдіть за цим посиланням.

Налаштування VLAN:

• Створимо Bridge для кожного з VLAN-ів, - Vlan100 і Vlan200. Головне меню - Bridge, натискаємо «+» для створення bridge. Далі задаємо ім'я (в прикладі будемо використовувати Vlan100) і натискаємо кнопку ОК. І повторюємо такі ж дії для створення bridge Vlan200.

  

• Другим етапом нам буде потрібно створити безпосередньо VLAN з мітками 100 і 200. Головне меню - Interfaces – вкладка VLAN , натискаємо «+» для створення VLAN . Даємо йому ім'я і ставимо мітку відповідно до нашого VLAN , а також вибираємо інтерфейс, до якого належатиме VLAN - вибираємо раніше створений нами bridge - Vlan100 і Vlan200 відповідно для 100 і 200 VLAN.
  

  

• Наступний етап, призначимо IP адреси для кожного з VLAN-нів. Головне меню - IP - Addresses , натискаємо «+» для призначення IP адреси, задаємо адресного простору і вибираємо інтерфейс, як і в попередньому кроці нашоми інтерфейсами служать bridge Vlan100 і Vlan200.
  

  

• Тепер налаштуємо DHCP Server для кожного з VLAN bridge , для прикладу візьмемо найбільш простий і швидкий варіант створення DHCP Server. Головне меню - IP - DHCP Server , натискаємо «DHCP Setup » вибираємо інтерфейс bridge Vlan100 і тиснемо кнопку «Next», в кінці натискаємо «ОК», і повторюємо процедуру для наступного інтерфейсу bridge Vlan200.
  

  

• Наступний етап - переводимо четвертий і п'ятий порт стан access. Головне меню - Bridges , вкладка VLANs , натискаємо «+» і створюємо правило для VLAN100: Bridge - вибираємо створений раніше Bridge Vlan 100, мітка VLAN 100, далі вибираємо який VLAN передаватиметься - Tagged - Bridge Vlan 100 і останнім вибираємо який порт буде в стан access ( Untagged - порт 4), натискаємо «ОК» готово. Створюємо ще одне правило, але тепер для VLAN200 підставляючи всі значення для двохсотого VLAN - на, а в якості access порту вибираємо п'ятий порт згідно з нашою схемою. Vlan100 і Vlan200 з міткою 1 створюється автоматично, так як VLAN з міткою 1 це VLAN управління, який за замовчуванням призначається всім портам і bridges. Це означає, що користувачі VLAN100 і VLAN 200 можуть потрапити до службової мережі. В наступному етані налаштувань ми створимо правила, що допоможуть ізолювати мережі одну від іншої.

  

• Останнім етапом буде ізолювання VLAN - ов один від одного , а також від VLAN з міткою 1, мережі управління. Головне меню IP - Routes вкладка Rules натискаємо «+» і створюємо правило. Мережа 192 .168.100.0 / 24 недоступна (unreachable) мережі 192 .168.200.0 / 24 і навпаки, а також мережі 192 .168.100.0 / 24 і 192 .168.200.0 / 24 не буде доступна мережа управління 192.168.88 .0 / 24 . Для кожного такого обмеження створитися окреме правило
  

  

В результаті ми отримали маршрутизатор з налаштованими в режимі accesses четвертого і п'ятого портів, згідно з нашою схемою.

3. Приклад №2 (Налаштування VLAN в стані trunk)

У другому прикладі, до попередніх налаштувань додаємо VLAN 40 і 30 в стані trunk на третій порт RB750r2 ( hEx lite ). Для прикладу підключимо до третього порту точку доступу і призначимо різні VLAN - ни для різних бездротових мереж VLAN30 - Test30, а VLAN40 - Test40 . В якості точки доступу буде використовуватися точка RBwAPG-5HacD2HnD (wAP ac ) підключена до третього порту RB750r2 (hEx lite ).

• Для початку налаштуємо маршрутизатор RB750r2 (hEx lite). Створимо VLAN 30 і 40. Головне меню - Interfaces - VLAN , натискаємо «+» для створення VLAN . Далі даємо йому ім'я і ставимо мітку відповідно до нашого VLAN , і вибираємо третій порт, до якого буде належати VLAN . На відміну від попереднього прикладу VLAN 30 і 40 будуть належати до одного порту ( ether 3 ).
  

  

• Наступний етап, призначимо IP адресу для кожного VLAN-на. Головне меню - IP - Addresses , натискаємо «+» для призначення адреси, задаємо адресу простору 192.168.30.0 для інтерфейсу Vlan30, а для Vlan40 призначмо адресу простору 192.168.40.0.
  

  

• Тепер налаштуємо DHCP Server для кожного з VLAN-ів . Головне меню - IP - DHCP Server , натискаємо «DHCP Setup» вибираємо інтерфейс VLAN30 і тиснемо кнопку « Next », в кінці натискаємо « ОК », і повторюємо процедуру для інтерфейсу VLAN40.

  

• Переходимо до налаштувань точки доступу RBwAPG-5HacD2HnD ( wAP ac ). Першим етапом видалимо всі налаштування, а також не будемо використовувати заводські налаштування перед загрузкою. Головне меню - System - Reset Configuration, обертаємо пункти No Default Configuration і Do Not Backup далі натискаємо кнопку Reset Configuration.

  

• Після перезавантаження приступимо до налаштування бездротової мережі. Головне меню - Wireless , натискаємо «+» обираємо Virtual (віртуальну мережу) , у вкладці General називаємо бездротовий інтерфейс (у прикладі wlan30 і wlan40 відповідно для VLAN30 і VLAN40), далі переходимо у вкладку Wireless і налаштовуємо безпровідний інтерфейс: Mode - ap bridge ( тип мовлення радіомодуля ), SSID - Test 30 (назва бездротової мережі) , Master Interface - wlan 1 ( так як був створений віртуальний бездротовий інтерфейс треба призначити до якого із радіомодулів він буде належати, в даному прикладі віртуальні інтерфейси будуть використовувати радіомодуль з частотою 2,4 ГГц ) , Security Profile - default (профіль безпеки бездротової мережі, в прикладі будемо використовувати профіль за замовчуванням, налаштування якого можна змінити у вкладці Security (Головне меню - Wireless вкладка Security ) ), VLAN Mode - use tag ( вибираємо використовувати мітку VLAN , іншими словами переводимо бездротовий інтерфейс в access ) , VLAN ID - 30 ( ставимо мітку VLAN ) . Натискаємо «ОК» і створюємо ще один бездротовий інтерфейс , але вже для VLAN40 ( він буде відрізнятися від попередніх налаштувань наступними параметрами SSID - Test40 , VLAN ID - 40 , а також може бути обраний інший профіль безпеки).

  
  

  

• Наступним кроком буде створення і об'єднання всіх інтерфейсів (фізичних і віртуальних) в один Bridge . Головне меню - Bridge , натискаємо «+» для створення bridge . Далі даємо йому ім'я (в прикладі bridge_AP) і натискаємо кнопку ОК . Переходимо у вкладку Ports і натискаємо «+» додаємо всі порти в створений bridge_AP. Після цього етапу обладнання буде налаштовано згідно нашій схемі. Також ця схема буде працювати якщо в розрив між точкою доступу і маршрутизатором встановити некерований комутатором. Далі у наступному прикладі розглянемо схему з використанням керованого комутатора для розширення нашої мережі.

  

4. Приклад №3 (Налаштування VLAN в стані trunk і access)

В даному прикладі ми розширимо нашу мережу за допомогою комутатора CRS328-24P-4S + RM під управлінням операційної системою SwitchOS. На перший порт комутатора будуть транслюватися три VLAN (VLAN 30, VLAN 40 і VLAN 200) в режимі trunk, а в двадцять четвертий порт два VLAN (VLAN 30 і VLAN 40) також в trunk , будуть йти на точку доступу RBwAPG-5HacD2HnD (wAP ac). А VLAN200 буде на портах з дев'ятого по шістнадцятий в режимі access. Схема представлена нижче. В даному прикладі триватимуть налаштування створенні в першому і другому прикладах. Будуть змінені налаштування RB750r2 (hEx lite), а налаштування на точці доступу RBwAPG-5HacD2HnD (wAP ac) залишаться без змін. Комутатор CRS328-24P-4S + RM буде налаштований під нашу задачу з базової конфігурації. Тому, перед тим як перейти до третин частини, потрібно ознайомитися з першим і вторим прикладом, а налаштування комутатора перевести в базову конфігурацію.

• Першим етапом на маршрутизаторі RB750r2 ( hEx lite ) треба змінити налаштування VLAN200. Головне меню - Interface , вкладка VLAN, обираємо VLAN 200 і зміняємо інтерфейс до якого належить цей VLAN з bridge Vlan200 на ethernet3. Натискаємо «ОК»
  

  

• Далі. Головне меню - Bridges , вкладка Ports натискаємо «+» додаємо vlan200 в bridge Vlan200. Натискаємо «ОК» і переходимо до наступного етапу.

  

• Наступний етап - це налаштування комутатора CRS328-24P-4S+RM. Зверніть увагу, що обладнання MikroTik під керуванням SwitchOS налаштовується не через звичний інтерфейс програми WinBox, а не безпосередньо через веб-інтерфейс. IP - адреса за замовчуванням (192.168.88.1) така ж як і в більшості пристроїв MikroTik. Логін admin, а поле пароля порожнє. Скориставшись веб-браузером заходимо на пристрій CRS328-24P-4S+RM. Додаємо вище створені VLAN 200, VLAN 40 і VLAN 30. Переходимо у вкладку VLANs , тиснемо Append і додаємо ідентифікатор VLAN другим кроком вибираємо, до якого порту буде належати той чи інший VLAN (в прикладі VLAN 30 і VLAN 40 транслюється на двадцять четвертий порт, до якого підключена точка доступу, а VLAN 200 віддаємо з дев'ятого по шістнадцятий порти). Перший порт буде містять всі три VLAN -на, так як в цей порт підключений маршрутизатор мережі RB750r2 ( hEx lite) третім портом. Натискаємо кнопку Apply All застосовуємо зроблені налаштуавння. Тепер VLAN 30 і VLAN 40 транслюється на двадцять четвертий.

  

• Наступним кроком віддаємо VLAN 200 в режимі access. Переходимо у вкладку VLAN переводимо потрібні порти в стан only untagged ( access ) і ставимо ідентифікатор VLAN 200, натискаємо кнопку Apply All. Всі етапи налаштувань в третьому прикладі виконані, мережа працює згідно з нашою схемою.